日本企業を取り巻く危機管理とBCPの課題について、企業リスクコンサルタントの林田朋之(プリンシプルBCP研究所所長)氏に解説をいただく「シリーズBCPの教室」。第3回では、企業のITサービスの事業継続「IT-BCP」についてお話しをいただきます。 [※シリーズ BCPの教室のバックナンバーはこちら]
シリーズ BCPの教室(第3回)
中小企業のためのIT-BCP ~ITシステムのBCP対策~
IT後進国ニッポン
日本は、コロナ禍に入るや、給付金を巡るトラブルなどで、政府、自治体、国民、企業の全対象に渡る「IT後進国」ということが世界中にばれてしまい、政府も慌ててデジタル庁を立ち上げる(2021年9月1日)に至り、泥縄的とも揶揄されましたが、やっと国民に自分達が世界と比べてITリテラシが低いことが理解され、企業がITに投資することが悪いことではないと経営陣にも浸透した結果、コロナ禍における IT産業は久々に大いに潤いました。それまでは、ITはコストセンターとして必要悪のように言われていたからです。
不思議なのは、IT後進国なのに、何故先進国で居られるのか、という点ですが、これは IT の効率化を上回る、今までのヒトの労働(頭脳労働を含む)の賜物であることは明確で、ブラック企業やサービス残業と言った悪いイメージとは真逆に、実直な労働そのものが日本を先進国足らしめている要因の一つになっています。逆に働き方改革は良いコンセプトなのに、労働や残業が全て「悪」だという極端な決めつけで、日本人が働かなくなると、世界との競争原理で先進国では居続けられない、結果的に働き方改革が「悪」だとなってしまい本末転倒な状況に陥るのは必然。やはり国策的には IT でも先進国でなければならないわけです。
災害時でもITを止めない施策を考える
そういった中、規模に寄らず、IT が企業の業務において重要な根幹を成していることは間違いなく、大手クラウドや都銀のデータセンターに障害が起これば、日本国中の企業や消費者などに大いに迷惑が掛かることはニュースで大々的に取り扱わられていることで理解出来ます。
IT が止まる原因はいくつもあり、性能以上の負荷が掛かったり、プログラミングのバグがあったりとシステムそのものから来るもの、移行時、移行リスクを矮小化してバックアップ体制が取られずにおこるトラブル、情報セキュリティ的な攻撃によるものなどがあります。
これらの IT 事故は、企業努力によって、その原因から防ぐことが出来ますが、巨大地震等による災害を原因とした停止では、災害そのものを企業が取り除くことは出来ません。そうした状況を考えた場合、IT を止めない施策の根本を、IT の構成要素として以下の様に整理して対策を考えることが出来ます。
-
❶ 人的要素:運用・保守要員の欠員、エンジニアスキル・能力
❷ システム要素:
- ① ハードウェア:エンドポイント(PC/スマートデバイス)、サーバ、ネットワーク
② ソフトウェア:OS、アプリケーション、ミドルウェア、データ
❸ 環境要素:電気、空調、クラウド、インターネット、ラック、マシン室
これらは災害時、どれが欠けてもBCPとしての事業復旧を阻害することになるわけですから、上記の要素ごとに対応を行うことで、IT が止まることを防げるということになります。
-
❶ 人的要素:人的バックアップ体制(マルチタスク、ダブルアサインメント)
❷ システム要素:
- ① サーバの冗長化(ホットスタンバイ、コールドスタンバイなど)
② データのバックアップ
❸ 環境要素:停電対策(バッテリ、発電機)、重要業務のクラウド化
※「冗長化」とは、コンピュータなどITシステムの障害に備え、予備のシステムを運用しておくなどして、できるだけサービスを継続するように平時から仕組みを運用しておくことを言います。
特に中堅・中小企業にとっては、人的要素の対応が最も難しいかもしれません。そもそも情報システム部門を置いているわけではないため、IT はほぼ業者に丸投げで運用保守を任せている企業がほとんどだからです。
もし会社にとって、ITが止まることは、事業継続ばかりでなく、会社そのものの継続にも問題を引き起こすような場合、IT-BCPの考え方を導入する必要があります。
中小企業のIT-BCPの進め方
大企業は、サーバの冗長化や数kwの大容量バッテリか発電機などを準備しますが、中堅・中小企業のIT-BCPは、以下の様な考え方で進めます。
先ず会社で動いているITはどのようなものか。
一般的には、業務系とコミュニケーション系に分けることが出来ます。後者は、いわゆる電子メールやスケジュール、ビデオ会議といったコラボレーションのための仕組みで、この部分は、Microsoftの365やGoogle のWorkspaceにすることで、情報セキュリティもある程度担保され、災害時に強い仕組みとすることが出来ます。会社が考えることは、パソコンやスマホから、これらにアクセスすることが出来る環境を用意するだけ。つまり災害に強い無線としての4G/5Gインターネットとバッテリ電源を全員に供与することです。スマホのテザリング機能と停電が予想される三日間ほど持つバッテリ(50000mAh以上)でPCやスマートデバイスを動かすことが出来、顧客や取引先とのメールのやり取りも可能となります。
もう一つの業務系が問題です。
ここは業者にIT-BCPを組んでもらいますが、発災後、そのSIerも被災して運用サービスを提供してくれることは期待出来ません。よって、バックアップの自動化を行うために、データセンター間のバックアップ体制が既に整っている大手のクラウド業者(Microsoft Azure、Amazon AWSなど)を利用した仕組みとし、平時からインターネットを経由したアクセスで業務を行います。
災害が発生しても、これらの仕組みがあれば、ユーザ側の運用変更がほぼなく、スムーズな災害対応が可能となります。
こうした体制での留意点は、災害時にもチャットやメールなどで相談に乗ってもらえるようサポート企業と有償契約しておくことです。もちろん有償契約としても、このような相談が災害の状況によって困難さが伴うことは納得した上で、電話ではない、チャットやメールの相談窓口をお願いすることが必要です。
またもう一つの懸念材料は、平時から大手クラウドを使うことで、使用料としての従量制費用が高めとなることです。社内で安価なサーバで運用するよりも、かなり経費が掛かることを了承して下さい。これらのクラウドを使うことは災害対応費も含まれているということを理解して利用することが必要です。
IT-BCPは、大企業だけのもの、という印象がありますが、クラウドや安価になった大容量バッテリを使い、相談窓口となってくれるサポートを得るだけで、中堅・中小企業にとっても、100点とは言えないまでも、70点の災害対策を取れると考えて下さい。
SIerにいきなりIT-BCPにしてくれと言っても、上述のようなバックグラウンドを理解しないままだと、かえって不要で高級すぎる仕組みを提案され高額な費用を請求されたりします。この辺りは、最初に危機管理系のコンサルタントに進め方について相談してから、SIerに依頼する流れを推奨します。
もし地震などの災害によって、停電が発生し、会社のITが止まると、どの業務に影響が及び会社の存続にダメージをもたらすのか、業務系のシステム停止、コミュニケーション系のシステム停止の両面で影響度を考えてみて下さい。
※「SIer(エスアイヤー)」とは、システム開発や運用などを請け負う企業の意味で使われるSystem Integrator(システムインテグレーター)の略称。
●基幹系管理システム:人事、会計、予算、顧客管理、営業等
●事業系管理システム:ERP、製造管理、サプライチェーン管理、受発注など
⇒ 企業の業務停止、顧客・取引先との取引停止
●チームウェア:電子メール、スケジュール・カレンダー
●コラボレーションウェア:ビデオ会議、チャット、プロジェクト管理など
●ホームページ(Web):広報、ニュースリリース、事業紹介、会社案内など
⇒ 従業員・取引先とのコミュニケーション停止、プロジェクトの停止
顧客や取引先との商品やサービスの取引が停止する、メール等のコミュニケーションが停止することで、オーダや受注、物流、サプライチェーンに、どのような影響をもたらすのか、を見極めることが、最初に行うIT-BCPです。
これらの影響度を検討し、一度に全部は出来ないため、優先度を付けることで、どの順番からIT-BCPをやるかを決定して下さい。
著者:林田朋之(はやしだ・ともゆき)
北海道大学大学院修了後、富士通株式を経て、米シスコシステムズ入社。
独立コンサルタントとして、大企業、中堅企業のIT、情報セキュリティ、危機管理、震災および新型インフルエンザのBCP、クラウド・リスクマネジメントなどのコンサルティング業務を実施。BCP講師としてNHKニュース等に出演。
現在、プリンシプルBCP研究所所長として、企業の危機管理、BCP、情報セキュリティ、ITインフラシステム等のコンサルティング業務、講演に従事。
【関連リンク】
・プリンシプルBCP研究所:https://www.principle-bcp.com/
・ダイヤモンドオンライン:連載 コロナから会社を守るBCP
・リスク対策.com:シリーズ 企業を変えるBCP